以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

ROM:星球前線|DeFi協議Pickle Finance因漏洞損失近2000萬美元

Author:

Time:1900/1/1 0:00:00

本文來自TheBlock、CointelegraphOdaily星球日報譯者|余順遂

據TheBlock報道,DeFi協議PickleFinance在周六的一個漏洞中損失近2000萬美元的DAI。據悉,該漏洞利用涉及PickleFinance的DAIpJar策略,該策略利用Compound協議通過DAI存款來獲得收益。來自該漏洞的資金已被轉移到地址0x70178102AA04C5f0E54315aA958601eC9B7a4E08。根據Cointelegraph報道,就PickleFinance因漏洞損失近2000萬美元一事,白帽黑客、DeFiItaly聯合創始人EmilianoBonassi表示,攻擊者部署了“邪惡Jar”,這是一種具有傳統Jar的相同界面、但是卻作惡的智能合約。隨后,攻擊者在他的“邪惡Jar”和真正的cDAIJar之間交換了資金,偷走價值2000萬美元的存款。

網易星球黑鉆競拍今天正式開啟:抽獎參與條件:原力>45且黑鉆數量>0.01的星球居民,滿足條件的居民每天可免費抽獎2次,抽中獎品后將消耗0.01黑鉆,未抽中則不消耗。拍賣規則:每位居民每件商品有10次競拍機會,0鉆起拍,0.01黑鉆為加價單位,價高者得,如出現多位居民出價相同,最先出價者優先中標。[2018/5/14]

官方回應:鼓勵LP從Jar中提取資金,直到問題解決

11月22日,PickleFinance發推稱,有報道說我們的DAIPickleJar策略已被利用。我們正在積極調查此事,并將提供進一步的更新。我們鼓勵所有LP從Jar中提取資金,直到問題得到解決。具體操作如下:

1)從農場解押:訪問https://vfat.tools/pickle/,連接您的錢包。向下滾動找到您的農場,然后單擊UNSTAKE。這也將申領您的Pickle獎勵。您現在必須從您的Jar里解押。2)從Jar取款:訪問https://github.com/pickle-finance/contracts#pickle-jars-pjars,找到您的Jar,然后單擊“PickleJar”列表下的藍色鏈接。

網易星球推出新玩法:5月10日,網易星球微信公眾號發消息稱,5月14-16號,網易星球將推出新玩法,有抽獎+拍賣兩種方式。[2018/5/10]

3)在代表Jar的Etherscan頁面上,單擊CONTRACT->WRITECONTRACT->CONNECTTOWEB3。您會看到一個彈出框。點擊“OK”。如果它不能連接,再次點擊“CONNECTTOWEB3”,然后就會連接。4)進入Option15,點擊藍色按鈕“WRITE”。然后像平常一樣完成您的Metamask交易。5)對所有需要提取資金的Jar重復這個過程。后續更新

22日下午,慢霧安全團隊表示第一時間跟進了相關事件并進行分析,以下為分析簡略過程:1.項目的Controller合約中的swapExactJarForJar函數允許傳入兩個任意的Jar合約地址進行代幣的兌換,其中的_fromJar、_toJar、_fromJarAmount、_toJarMinAmount都是用戶可以控制的變量,攻擊者利用這個特性,將_fromJar和_toJar都填上自己的地址,_fromJarAmount是攻擊者設定的要抽取合約的DAI的數量,約2000萬DAI。2.使用swapExactJarForJar函數進行兌換過程中,合約會通過傳入的_fromJar合約和_toJar合約的token()函數獲取對應的token是什么,用于指定兌換的資產。而由于_fromJar合約和_toJar合約都是攻擊者傳入的,導致使用token()函數獲取的值也是可控的,這里從_fromJar合約和_toJar合約獲取到的token是DAI。3.此時發生兌換,Controller合約使用transferFrom函數從_fromJar合約轉入一定量的的ptoken,但是由于fromJar合約是攻擊者控制的地址,所以這里轉入的ptoken是攻擊者的假幣。同時,因為合約從_fromJar合約中獲取的token是DAI,然后合約會判斷合約里的資金是否足夠用于兌換,如果不夠,會從策略池中贖回一定量的代幣然后轉到Controller合約中。在本次的攻擊中,合約中的DAI不足以用于兌換,此時合約會從策略池中提出不足的份額,湊夠攻擊者設定的2000萬DAI。4.兌換繼續,Controller合約在從策略池里提出DAI湊夠攻擊者設定的2000萬DAI后,會調用_fromJar的withdraw函數,將攻擊者在第三步轉入的假ptokenburn掉,然后合約判斷當前合約中_toJar合約指定的token的余額是多少,由于_toJar合約指定的token是DAI,Controller合約會判斷合約中剩余DAI的數量,此時由于第三步Controller合約已湊齊2000萬DAI,所以DAI的余額是2000萬。這時Controller合約調用_toJar合約的deposit函數將2000萬DAI轉入攻擊者控制的_toJar合約中。到此,攻擊者完成獲利。總結:此次攻擊中,攻擊者通過調用Controller合約中的swapExactJarForJar函數時,偽造_fromJar和_toJar的合約地址,通過轉入假幣而換取合約中的真DAI,完成了一次攻擊的過程。此外,針對PickleFinance攻擊事件,審計公司Haechi澄清稱,我們10月進行了一次審計,但是攻擊者利用的漏洞發生在新創建的智能合約中,而不是接受安全審計的智能合約中。與此次漏洞攻擊相關的代碼是“controller-v4.sol”中的“swapExactJarForJar”;而此前的安全審計是針對“controller-v3.sol”,不包含“swapExactJarForJar”。在不久的將來,Haechi將發表關于PickleFinance攻擊事件的分析文章。

Social Lending內測區塊鏈游戲蜂巢星球:據騰訊游戲消息,3月20日,Social Lending開始內測自己的區塊鏈游戲蜂巢星球,并將游戲中的區塊鏈寵物命名為“區塊蜂”,區塊蜂產生的蜂蜜則具有加密數字資產意義,蜂蜜未來將按照一定的兌換比例直接兌換成數字資產。據項目團隊介紹,蜂巢星球后臺當天涌入上萬玩家,服務器一度被擠爆。[2018/3/22]

網易星球正式登陸蘋果應用商店:3月13日,區塊鏈手機應用網易星球正式登陸蘋果應用商店。此前,由于被蘋果取消信任證書,網易星球方面曾表示iOS版本尚沒有正式上架,網易方面正在積極協調處理,今日網易正式獲得蘋果信任證書在蘋果商店正式上架。[2018/3/13]

Tags:JARDAICONROMJared From SubwayDaily Crypto GiveawaysCONMPROM

歐易交易所app下載
比特幣:央視再次報道比特幣,行情上漲決心不變

今天行情開始沖擊了18000美元,并且一度接近18500美元,距離歷史新高已經不到一個漲停板的差距,而今天中午發動的第二波行情或許是和以下消息有關.

1900/1/1 0:00:00
ETF:如果牛市降臨,我們真的準備好了嗎?

BTC、ETH最近都創了近兩年的新高,牛市的步伐正在向我們靠近,有多近呢?按當前BTC價格18240U,離歷史最高點的19875U,僅僅只差一個10%的漲幅.

1900/1/1 0:00:00
DEF:Pantera Capital聯合創始人:未來20年區塊鏈比其他任何投資都更加有趣

編者按:本文來自碳鏈價值,Odaily星球日報經授權轉載。作為美國有史以來第一支比特幣基金,PanteraCapital從2018年至2020年一共募集到1.64億美元,其中大部分資金流入比特幣.

1900/1/1 0:00:00
比特幣:3月12的天鵝湖與Compound的7000萬U,清算方案有多重要?

編者按:本文來自去中心化金融社區,Odaily星球日報經授權轉載。在經歷了大規模的業務爆發之后,DeFi迎來了大規模的風險爆發期,接連出現的協議被攻擊事件已經成為了常態,讓我們看到了去中心化世界.

1900/1/1 0:00:00
MCG:屢創新高后,5萬億刀將涌入比特幣,一年后漲至10萬美金?

11月25日,比特幣價格飆升至19412美元,創下今年新高。距離歷史新高19800美元,只有不到500美元。與此同時,“Bitcoin”一詞的谷歌趨勢也達到了2020年的最高水平.

1900/1/1 0:00:00
EPY:大型機構堅定追漲,散戶逆勢搏空草草收場

編者按:本文來自鏈聞ChainNews,星球日報經授權發布。11月21日,CFTC公布了最新一期的CME比特幣期貨周報,統計周期內BTC上漲勢頭延續,雖然在統計周期前半段基本保持橫盤,但是末段的.

1900/1/1 0:00:00
ads